Linux iptables防火墙详解(三)——iptables匹配条件

最新推荐文章于 2024-05-21 22:42:10 发布
最新推荐文章于 2024-05-21 22:42:10 发布
阅读量2.5k 收藏 17
点赞数 5
分类专栏: Linux 文章标签: linux 网络 iptables centOS 7 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40228200/article/details/121726311
版权

今天继续给大家介绍Linux基础知识,本文主要内容是Linux iptables防火墙配置命令匹配条件。
阅读本文前,您需要对Linux iptables有一定的了解,如果您对此还存在困惑,欢迎查阅一下文章,相信您一定会有所收获!
Linux iptables防火墙详解(一)——iptables基础知识
Linux iptables防火墙详解(二)——iptables基本配置

一、iptables匹配参数介绍

在上文Linux iptables防火墙详解(二)——iptables基本配置中,我们介绍了iptables防火墙一些基本的参数,今天,我们针对iptables防火墙中规则配置的匹配条件相关内容进行详细介绍,首先,我们来看一下iptables防火墙的匹配方式和相应的参数。

(一)按网络接口进行匹配

在iptables防火墙中,如果主机设备含有多块网卡时,可以按照网络接口进行匹配。-i参数表示数据包进入的接口,-o参数表示数据包流出的接口。

(二)按源、目IP进行匹配

在iptables防火墙中,可以按照数据包的源、目IP进行匹配,-s参数可以匹配数据包源IP地址,-d参数可以匹配数据包目的IP地址。IP地址可以是单个IP地址、IP地址段,域名等等。

(三)按协议类型进行匹配

-p参数可以指定协议类型,协议类型可以是tcp、udp、icmp等等。

(四)按源、目端口进行匹配

如果想要匹配端口,则需要使用–sport、–dport参数,–sport表示源端口,–dport表示目的端口。这两个参数后面可以跟单个端口,也可以跟一个端口范围,例如–sport 3306、–dport 300:1000、–sport :200分别表示匹配源端口为3306,
如果想要匹配多个端口,则需要首先使用-m multiport参数,然后跟–sports、–dports或者是–ports参数,

(五)按源MAC地址进行匹配

如果想要iptables按照源码MAC地址进行匹配,则格式如下:

-m mac --mac-source XX.XX.XX.XX.XX.XX

后面紧跟这的是一个MAC地址。

(六)按包速率进行匹配

如果想要按照包速率进行匹配,则格式如下:

-m limit  --limit N/s --limit-burst M

其中N、M是一个正整数,表示一秒多少个数据包,M表示缓冲区大小。其实,iptables对速率的限制,本质上是对数据包个数的限制,iptables不支持对数据包大小和带宽进行直接限制。
如果想要对某一类型的数据包进行限速,–limit参数和–limit-burst参数要配合使用,iptables会首先放置一个计数器,计数器大小为M的值,每当收到一个数据包,就会将计数器的值减1,如果计数器的值为0,则拒绝接受新的数据包,同时,iptables也会按照N的值,定期增加计数器的值。

(七)按包状态进行匹配

除了上述常规的匹配方式外,iptables还支持按照包状态进行匹配,所谓包状态,是根据源目IP、源目端口和序列号等信息,判断处于一个链接的不同的状态,比如TCP的三次握手等交互状态等,iptables支持的包状态有以下4种。
1、NEW。 NEW状态是通常意义上的第一个数据包已经被接收到了,但是其反方向的应答包还没有被接受到的情况,比如TCP三次握手时的第一个SYN包,这就是NEW状态的连接。
2、ESTABLISHED。 ESTABLISHED状态是在NEW状态的基础上,收到了对方的应答包,这样,数据就会有两个方向的传输。比如TCP三次握手的服务端在收到客户端发送的SYN包后,进行SYN+ACK包的应答,这时我们就可以把该状态认为是ESTABLISHED状态。
3、RELATED。 RELATED状态是在ESTABLISHED状态的基础上,有相关链接的建立。最典型的协议是FTP协议,如果是FTP采取主动模式,则在控制链接中,客户端向服务端发送客户端打开的端口号,服务端根据客户端发送的端口号,新建立一个TCP数据链接,主动的去链接客户端。从这个角度看,数据连接与控制链接其实是由很大关联的。
4、INVALID。 如果有其他的状态防火墙不能识别,则把该状态认为是INVALID状态。
在这里,需要特别说明的是,状态的引入,可以很方便的帮助我们配置一些规则。包过滤防火墙向状态监测防火墙的进步,就可以看做是对状态匹配数据报文的支持,而RELATED状态的引入,更是可以类比与现代防火墙的ASPF功能。

二、iptables匹配参数使用示例

接下来,为了让大家更好的理解iptables的各种匹配参数,我简单地罗列一下iptables的使用命令,可以供大家学习参考一下。
1、按照网卡进行匹配

iptables -A INPUT -i ens32 -j ACCEPT

2、常规防范指定流量

iptables -A INPUT -s 192.168.136.0/24 -d 192.168.136.101 -p tcp --sport 20:30 --dport 90 -j ACCEPT

3、防止ICMP洪范攻击

iptables -A INPUT -p icmp -m limit --limit 10/m --limit-burst 5 -j ACCEPT 
iptables -A INPUT -p icmp -j REJECT

上述命令配置后,对该设备的访问结果如下:
在这里插入图片描述
原创不易,转载请说明出处:https://blog.csdn.net/weixin_40228200

永远是少年啊
关注
  • 5
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
iptables 匹配规则
weixin_37583747的博客
06-20 6242
iptables 匹配规则1.    源地址匹配:    a.    ip地址匹配                iptables -t filter -I INPUT -s 192.168.1.111,192.168.1.118 -j DROP        用“,”分隔多个源地址,地址与“,”之间不能有空格    b.    网段匹配        iptables -t filter -I ...
防火墙篇--iptables
Cpureman的博客
08-01 469
文章目录前言:Liunx包过滤防火墙概述:iptables的表,链结构默认包括5种规则链默认包括4个规则表数据包过滤的匹配流程:iptables安装:iptables的基本语法:iptables的管理选项:规则的匹配条件:SNAT策略概述:SNAT策略实验DNAT策略概述:DNAT策略实验防火墙规则的备份和还原: 前言: iptables是组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(N
Linux防火墙篇——iptables
最新发布
aran2002的博客
05-21 1178
Linux 系统的防火墙 :IP信息包过滤系统,它实际上由两个组件netfilter 和 iptables组成。主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口、协议等信息的处理上。
iptablesiptables表、链、规则 、匹配模式、扩展模块、连接追踪模块(一)
Nightwish5的博客
08-15 1340
【执行完后 ssh会掉线】【注意!time模块,可以根据时间段区匹配报文,如果报文到达的时间在指定的时间范围内,则符合匹配条件。●string模块,可以指定要匹配的字符串,如果报文中包含对应的字符串,则符合匹配条件。情景1示例:应用返回的报文中包含字符"video",我们就丢弃当前报文,其余正常通过。限制早上:8:00 ~ 12:00 (00:00-04:00)限制下午:14:00 ~ 18:00 (06:00-10:00)–timestart hh:mm[:ss]:开始时间。
iptables详解(5):iptables匹配条件总结之二(常用扩展模块)
ss810540895的博客
10-20 874
在本博客中,从理论到实践,系统的介绍了iptables,如果你想要从头开始了解iptables,可以查看iptables文章列表,直达链接如下前文已经总结了iptables中的基本匹配条件,以及简单的扩展匹配条件,此处,我们来认识一些新的扩展模块。
iptables过滤流程图
01-01
iptables过滤流程图,
Linux 防火墙软件 IPtables使用详解.docx
11-09
Linux 防火墙软件 IPtables使用详解.docx
详解Linux iptables常用防火墙规则
01-20
IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和...
linux iptables防火墙黑名单(封IP) Connection reset by peer
01-11
linux iptables防火墙黑名单(封IP) Connection reset by peer
Linux iptables防火墙实用模板
06-22
Linux iptables防火墙实用模板
Linuxiptablesiptables匹配条件
qq1319713925的博客
04-06 468
如上图,iptables命令风格,第一部分指定表名,第二部分指定对规则的增删改查的动作。 第部分指定规则的匹配条件,第四部分指定数据包匹配该规则时执行的动作。 其中:命令的第一部分第二部分没啥好说的了,现在总结第部分,匹配条件。 一:-s 匹配报文的原地址 #示例如下 1.匹配多个IP iptables-tfilter-IINPUT-s192.168.1.111...
Linux iptables防火墙规则配置的两个坑
lujian1989的专栏
09-06 8825
Linux iptables防火墙规则配置的两个坑,包括规则保存和规则生效机制
关于iptables的规则配置方法(笔记)
剁椒鱼头没剁椒的博客
02-08 9717
关于iptables的规则配置方法(笔记)
iptables及其过滤规则
成长的足迹
03-19 5205
1. iptablesLinux内核的一个模块,用以管理对网络设备(网卡)的访问,如路由过滤、端口转发、NAT等,root用户可以通过iptables配置操作系统的路由表。在当前的主流Linux发布系统中,都默认安装了iptables。 为了适应IPv6,事实上iptables用以管理IPv4数据包的过滤和地址转换,ip6tables用以管理IPv6数据包的过滤和地址转换。后文将其统一称为ip...
iptables基本原理和规则配置
沉默的鹏先生
02-27 1454
iptables原理图 1.表的作用 Mangle:打个标记,更改ttl值,更改查看tos Nat:做DNAT、SNAT和端口映射 Filter:通过五元组控制数据包 Conntrack:跳过连接跟踪以及加速数据包到达本地或出去 路由判决:查路由看是转发还是找自己的 优先级顺序:raw > mangle > nat > fiter 2.Iptables查...
操作iptables时应特别注意规则的顺序
jiangtongcn的专栏
03-18 8236
oracle在centos本机能够正常访问,关闭防火墙也能够远程访问,但是一旦开启防火墙则不能远程访问 尝试添加规则iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 1521 -j ACCEPT,但是仍然不能远程访问 尝试vi /etc/sysconfig/iptables,修改配置添加-A INPUT -m state
iptables的原理及配置规则
weixin_33812433的博客
08-24 219
iptables的前身叫ipfirewall (内核1.x时代),这是一个作者从freeBSD上移植过来的,能够工作在内核当中的,对数据包进行检测的一款简易访问控制工具。但是ipfirewall工作功能极其有限(它需要将所有的规则都放进内核当中,这样规则才能够运行起来,而放进内核,这个做法一般是极其困难的)。当内核发展到2.x系列的时候,软件更名为ipchains,它...
iptables状态匹配
LIGANG0704的博客
05-15 382
步骤一:清理现有的防火墙规则,排除干扰 清空filter表: [root@gw1 ~]# iptables -F 确认结果: [root@gw1 ~]# iptables -nL Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCE...
Linux防火墙------iptables(基础概述)
下雨天的放羊娃的博客
05-25 343
目录一.iptables概述1.netfilter/iptables关系2.四表五链2.1 四表2.2 五链2.3 表链结构示意图2.4 规则链之间的匹配顺序3.数据包过滤的匹配流程二.iptables的配置1.iptables的安装2.iptables防火墙的配置方法3.iptables命令行4.常用的控制类型5.常用管理选项5.1 添加新的规则5.2 查看规则列表5.3 设置默认策略5.4 删除规则5.5 清空规则:6.规则的匹配6.1 通用匹配6.2 隐含匹配6.3 显式匹配 一.iptables概述
LinuxIptables使用资料(整理).docx
12-16
LinuxIptables使用资料(整理).docx

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

永远是少年啊

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值